數字圖書館推廣工程虛擬網建設實踐
——以寧夏圖書館為例

孫 戈

(寧夏圖書館，寧夏 銀川 750001)

1 數字圖書館推廣工程虛擬網建設背景

為進一步加快我國公共圖書館在數字圖書館建設的步伐，2011年5月,文化部(現文化和旅游部，下同)、財政部聯合下發《財政部、文化部關于實施“數字圖書館推廣工程”的通知》文件(以下簡稱“推廣工程”),在“十二五”期間開始實施數字圖書館推廣工程，以提高公共圖書館的公共數字文化服務能力和體系建設。2015年推廣工程積極推動虛擬專網建設，全國各省級公共圖書館先后接入SDH 155M虛擬專網，實現了與國家圖書館點對點方式的互聯。為了形成一個更加完善的網絡服務體系擴大公共數字文化服務覆蓋面，2016年推廣工程開始在全國各省實施基層圖書館互聯互通建設，將基層圖書館接入推廣工程虛擬專網，從而形成了以國家圖書館為核心、省級圖書館為主要節點、市縣級圖書館為接入點的更為完善的網絡服務體系。推廣工程通過聯通遍布全國的強大傳輸網絡，實現數字圖書館間數據的高速傳輸，打通推廣工程資源服務的“最后一公里”，從整體上提升全國公共圖書館的公共數字服務能力。

2 寧夏地區虛擬網建設面臨的問題

2.1 寧夏各級公共圖書館網絡基礎設施建設差異較大

寧夏現有各級公共圖書館26個，其中省級圖書館1個、市級圖書館4個、區縣級圖書館21個。寧夏圖書館新館于2008年建成，網絡基礎設施經過多年的升級改造，現已建成萬兆主干、桌面千兆的星型局域網絡，網絡出口有300M電信光纖主線路用于館內辦公及部分業務訪問互聯網，100M電信光纖備線路用于提供主線路的冗余和部分業務訪問互聯網，300M中國移動光纖線路用于館內無線訪問互聯網，所有線路通過鏈路負載均衡設備實現網絡的智能化流量管理，達到最佳的負載均衡需求。網絡安全設備有出口防火墻、IPS入侵防御系統、服務器防火墻、WEB應用防護系統、上網行為管理等設備。

全區4個市級館網絡出口帶寬多為100M～200M，網絡安全防護設備都配備了防火墻及上網行為管理等設備；21個區縣級圖書館網絡出口帶寬多為100M，部分縣級圖書館由于經費問題網絡與文化局、文化館等其他單位共用且缺少防火墻等網絡安全防護設備。根據調研分析得知，省內各級公共圖書館互聯網出口帶寬及網絡信息安全保障方面有較大差異，軟硬件基礎設施、網絡配置各不相同。

2.2 原有虛擬網實用性較差

2008年寧夏圖書館通過10M電信MPLS VPN與全區21家公共圖書館實現了虛擬網連接，打通了資源共享的渠道，后將電信MPLS提速至50M，2013年寧夏圖書館完成與國家圖書館155M虛擬網的連接。多年來原有MPLS VPN虛擬網線路租賃費用全部由寧夏圖書館承擔，經費壓力過大，50M MPLS VPN線路網速已無法滿足圖書館應用需求，導致很多圖書館不再使用或使用率很低。提速至100M以上速率所需要的經費更加高昂。

此外，虛擬網上傳輸的數據主要是各類數字資源、應用系統業務數據，特別是數字資源數據格式種類較多，對網絡的帶寬和穩定性、傳輸效率等要求較高，尤其是要保證應用系統業務數據在傳輸過程中的安全性，因此需要一個更加穩定、高效、經濟、易于拓展、適應性強的虛擬網環境來代替原來的虛擬網。

2.3 虛擬網技術的復雜多樣性

VPN(Virtual Private Network)即虛擬專用網絡，是在公共網絡上為用戶建立點到點的虛擬專用網絡技術,具備 Internet 接入的便捷性和專線的安全性，并且價格適中投入產出比較高，已經成為系統安全接入和總部-分支組網方案的最佳選擇。目前較為常用的有MPLS VPN、SSL VPN、IPsec VPN。

MPLS VPN技術吸收了ATM交換技術和IP路由技術的優點，利用在網絡運營商骨干網與用戶節點的路由和交換設備上應用MPLS技術提供類似于虛電路的標簽交換業務來實現IP虛擬專用網絡。MPLS VPN優點在于隧道傳輸速度快、IP資源利用率高、具有多種QoS保證措施，適用于傳輸數據、語音、視頻等綜合業務。但在安全性方面MPLS VPN主要通過地址、路由隔離，隱藏信息等方式，對網絡中存在的欺騙信息進行標記，并抵抗不安全因素的各種攻擊，但對傳遞的數據本身并不提供加密的防護手段。在經濟性方面MPLS VPN的線路租賃費較高，相當于租賃了專線。

SSL VPN采用應用層協議即第四層隧道協議中典型的SSL協議，它利用公用網絡將應用層的數據經過嚴格的控制、加密、封裝后再通過傳輸層進行運輸。SSL VPN連接需要通過認定的口令密碼進行認證，提供本地認證、服務端認證、證書挑戰等多種身份認證方式，使用者通過客戶端認定的口令密碼進行認證建立的SSL連接，通過web瀏覽器客戶端訪問內網的資源，安全性較好。SSL VPN 組網方式比較簡單，只需要在網絡中心節點配置一臺SSL VPN網關設備即可實現遠程接入訪問。雖然SSLVPN經濟性、安全性較好，但是在響應速度上無法滿足高效運行要求，網絡質量難以保證，同時對Windows應用及新的或功能復雜的Web瀏覽器只能提供有限的技術支持。

IPsec VPN采用IPsec協議三層隧道加密技術建立網絡層的VPN，IPsec的核心是在IP層對原始數據包添加IPsec頭部來實現對原始數據包的加密、完整性和源IP認證，可實現隧道模式和傳輸模式兩種傳輸模式并且提供線路冗余機制，可以說IPsec協議是目前最為安全的VPN協議。此外IPsec對IP協議支持的比較全面，對基礎網絡的要求低，部署IPsec VPN 網絡簡單易實現且建網費用低，只需要在兩個網絡的出口位置部署具有IPsec VPN功能的設備即可，但在組網中需要解決好穿越防火墻及IP地址沖突的問題。

3 虛擬網組網構建

3.1 VPN技術選擇

從VPN技術類型分析可以看出，SSL VPN主要是面向個人到站點的遠程接入技術，僅限于B/S結構(瀏覽器/服務器)的Web瀏覽器應用，對C/S結構(客戶/服務器)非Web頁面的支持不夠，很多非Web頁面文件訪問往往要借助于應用轉換才能實現，且對應用的響應速度較慢，這些都導致其不適合組網需求；MPLS VPN雖然能滿足中心到分支節點的連接，并且可以提供QoS保證，但是MPLS VPN往往受到單一網絡運營商的限制，跨運營商連接效果不好，用戶配置網絡不夠靈活，線路租賃費用較高，從長遠角度經濟實用性上不適用于組網要求；IPsec作為當前主流的VPN協議，技術比較完善、系統穩定性較高，在保證數據安全的同時可提供鏈路冗余機制保障鏈路和設備的可靠性，經濟性上只需要在各圖書館原有網絡中部署一臺具有IPsec VPN功能的設備即可建立點到點的虛擬網，接入方式靈活多樣，網絡可管理性強，尤其是對技術力量薄弱的基層圖書館可實現設備“零管理”。只要解決好防火墻穿越技術問題規劃好IP地址便可完成整體虛擬網的組建，使其成為搭建虛擬網的最佳技術選擇。

3.2 虛擬網絡架構

利用各圖書館原有互聯網鏈路，通過在網絡出口部署具有IPsec VPN功能的防火墻設備組建各個基層圖書館到寧夏圖書館及國家圖書館的虛擬網絡，國家圖書館作為總部節點，寧夏圖書館作為省級網絡中心節點，各基層圖書館作為分支節點。同時防火墻可提供對病毒、木馬、終端漏洞、Web入侵等各種L2-L7層威脅的檢測、防護全面提升網絡安全性。虛擬網絡構架如圖1所示。

3.3 IP地址規劃及NAT轉換

國家圖書館對全國省級圖書館的虛擬網IP地址進行了規劃，為避免地址段沖突以及保證每個館有足夠IP數量，虛擬專網地址段使用10. 100. 0. 0 /16 - 10. 254. 0. 0 /16的地址段，其中每個省級館分配10. 100. 0. 0 /16 - 10. 134. 0. 0 /16中的一個B類地址段，寧夏圖書館IP地址段為10.131.0.0/24。寧夏圖書館規劃本地區的IP地址段為：寧夏圖書館使用192.168.0.0-192.168.99.254地址段，市縣區級館IP地址段設定為192.168.100.0-192.168.140.254中的一個C類地址。

NAT(Network Address Translation)中文意思“網絡地址轉換”，它是一種把內部私有網絡地址翻譯成合法網絡IP地址的技術。為了正常訪問虛擬網上的資源，需要把寧夏圖書館內網IP 地址通過NAT轉換為所分配的虛擬網地址。進行NAT地址轉換的設備為寧夏圖書館與國家圖書館虛擬網連接設備華為AR2220路由器，具體方法為：①配置NAT地址池：nat address-group 1 10.131.1.10 10.131.1.30 ；②配置ACL：acl number 3001， rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255；③在路由出口應用ACL：nat outbound 3001 address-group 1，即可實現192.168.0.0/16的源地址通過NAT地址池中的地址進行動態轉換。

4 虛擬網組網實踐

4.1 基層圖書館與寧夏圖書館的VPN連接

寧夏圖書館與基層圖書館在網絡出口處各部署一臺具有IPsec VPN功能的防火墻，均采用網關模式進行網絡互聯。本次實例中寧夏圖書館使用的設備為深信服VPN-6050網關，基層圖書館使用的設備為深信服AF-1000-c600防火墻，配置界面均采用WEB界面，具體配置信息如下。

4.1.1 配置基層圖書館防火墻IPsec功能

①配置新建連接，輸入總部IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②輸入總部分配的用戶賬號信息xqxx和密碼XXX，傳輸協議選擇TCP，加密算法采用AES。③配置VPN接口，使用系統自動分配的VPN接口虛擬IP地址：143.255.18.138/32。④配置本地子網，添加寧夏圖書館為該基層圖書館規劃的虛擬網地址段：192.168.130.0/24。

4.1.2 配置寧夏圖書館IPsec網關設備

①配置IPsec主隧道鏈接地址119.60.8.226:4009和備用隧道鏈接地址120.253.25.214:4009。②建立該基層圖書館的連接賬號xqxx和連接密碼xxx。③配置VPN接口，使用系統自動分配的VPN接口虛擬IP地址：55.50.84.171/32。④配置容許該基層圖書館訪問的地址段如：寧夏圖書館服務器網段(192.168.x.0/24),國家圖書館網段(10.100.x.0/16)。⑤查看IPsec運行狀態顯示已有數據流量，說明IPsec隧道連接成功。

4.2 寧夏圖書館與國家圖書館的VPN連接

寧夏圖書館通過一臺華為AR2220路由器與國家圖書館進行虛擬網互聯。配置舉例如下。

4.2.1 配置訪問控制列表

acl number 3001

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 10.100.0.0 0.0.255.255

4.2.2 配置NAT地址池

nat address-group 1 10.131.1.10 10.131.1.30

4.2.3 配置acl策略應用到路由器出口

interface Pos6/0/0

link-protocol ppp

ip address 11.0.0.38 255.255.255.252

nat outbound 3001 address-group 1

4.2.4 配置路由

ip route-static 0.0.0.0 0.0.0.0 11.0.0.37//缺省路由指向國家圖書館

ip route-static 192.168.0.0 255.255.0.0 10.131.254.253//路由指向下連寧夏圖書館網絡設備

4.3 連通效果

4.3.1 基層圖書館網絡連通性測試

從基層圖書館PC(192.168.130.1)ping寧夏圖書館內部服務器地址(192.168.1.17)可ping通，ping國家圖書館資源服務器地址(10.100.2.2)可ping通，tracert兩個服務器地址路由結果正常。

4.3.2 寧夏圖書館到國家圖書館網絡連通性測試

從寧夏圖書館pc(192.168.10.1)ping國家圖書館資源服務器地址(10.100.2.2)可ping通,tracert服務器地址路由結果正常。

4.3.3 對數字資源的訪問測試

從基層圖書館及寧夏圖書館任意pc訪問推廣工程資源庫群中的資源，訪問鏈http://10.100.2.2:82/refbook/可直接訪問使用，同時基層圖書館任意PC也可直接訪問使用寧夏圖書館數字資源，訪問鏈http://192.168.1.25:8080/，達到了虛擬網的使用效果。

5 結束語

由于MPLS VPN高額的線路租賃費，近年來寧夏圖書館借助推廣工程基層圖書館互連互通項目的實施逐步將原有MPLS VPN替換為IPsec VPN。總之，虛擬網建設是推廣工程基礎性建設之一，通過虛擬網促進了圖書館間資源與服務的全面共建共享，促進了圖書館數字資源建設和服務模式的多樣化發展，使得讀者能享受到更加方便、快捷的數字圖書館服務。